Wer nach der Datei greifen darf

Unzulässige oder unnormale Zugriffe auf Dateien im Netz stellen ein Sicherheitsproblem dar und sind manchmal auch gute Indikatoren für größere Probleme - etwa für Ransomware, die gerade mit einem Angriff beginnt. Um in diesem Bereich den Überblick zu behalten, reichen anstelle teurer File-Integrity-Monitoring-Programme manchmal auch kleine und schlanke Tools.

Für diesen Toolbox-Test gibt es gleich mehrere Motivationen. Die erste ist, dass sich das sogenannte File-Integrity-Monitoring (FIM) immer mehr zum Teil des Pflichtprogramms für Informationssicherheit in Unternehmen mausert. Die Security-Norm PCI-DSS für Organisationen, die mit Kreditkartendaten arbeiten, schreibt es zum Beispiel explizit vor. Im Vollausbau sollen die Werkzeuge zeigen und protokollieren können, wer wann welche Datei in welcher Weise angelegt, verändert oder gelöscht hat. Dabei geht es vor allem um die Erfüllung von Nachweispflichten. Somit stellt sich die Frage: Geht es zuweilen vielleicht auch ein wenig kleiner?

Alarm bei Änderungen

Der zweite Einsatzbereich liegt im gezielten Alarmieren der Administratoren bei unerwarteten oder nicht regelgerechten Dateizugriffen im Filesystem. Spezialisten und Anbieter wie beispielsweise Vectra Networks weisen derzeit darauf hin, dass dort einer der möglichen Ansatzpunkte für die rechtzeitige Erkennung von Ransomware-Aktivitäten liegt. Ransomware - jene Malware, die Nutzdateien verschlüsselt und den Schlüssel zur Wiedergewinnung dann nur gegen Zahlung eines Lösegeldes herausrückt - kann sich auf einem Computer oder im Netzwerk zwar lange Zeit gut verstecken, muss aber irgendwann mit ihrer zerstörerischen Tätigkeit beginnen. Diese besteht nun einmal unweigerlich im Löschen und Verändern von Dateien: Erst entfernt Ransomware in Verzeichnissen Daten, die sie mit einiger Sicherheit als Sicherheitskopien von Nutzdaten identifiziert hat, dann beginnt sie Ordner für Ordner mit der Verschlüsselung der übrig gebliebenen Dateien.

Um gleich vorweg zu warnen: Richtig gute Software gegen Ransomware aus der Gattung der Network-Behavior-Analysis-Tools, die heute immer häufiger mit künstlicher Intelligenz und automatisierter Anomalie-Erkennung arbeitet, erkennt das typische Vorgehen der Malware an einer weitaus größeren Zahl von Indikatoren, etwa an der Kommunikation der Ransomware-Komponenten untereinander. Eine bloße Dateiveränderungserkennung ist nur einer der Bausteine und kann echter Security Intelligence nicht das Wasser reichen. Außerdem sind die modernen Sicherheits-Tools in der Lage, normales Verhalten im Netzwerk zu "lernen". Nur deshalb erkennen sie nach einiger Zeit auch recht zuverlässig unnormale Erscheinungen. Solch ein "maschinelles Lernen" kann keines der hier getesteten Tools bieten.

Man kann sie jedoch auf eine höchst einfache Weise ersetzen, ohne den geringsten KI-Faktor im Spiel zu haben. Hinweise darauf finden sich wieder in den Whitepapers der Security-Intelligence-Anbieter, unter anderem bei Vectra. Dort nämlich hat man als Mittel gegen Ransomware auch das gute alte Honeypot-Prinzip wiederentdeckt. Derzeitige Ransomware etwa hangelt sich beim Verschlüsseln meistens alphabetisch durch die Netzwerkverzeichnisse, entweder von vorn oder von hinten. Und sie versucht, wie erwähnt, vorab Backup-Ordner zu leeren. Beides schreit danach, am Anfang und Ende des Laufwerksbaums Fallen in Form gut gefüllter Verzeichnisse mit möglichst großen, aber nicht benötigten Dateien anzulegen und eventuell auch entsprechende zusätzliche Backup-Ordner vorzuhalten. Wenn diese im Normalfall nicht genutzt werden, zeigen Datei-Aktivitäten in den entsprechenden Ordnern grundsätzlich an, dass dort eine mit hoher Wahrscheinlichkeit ungewollte Tätigkeit stattfindet. Sind die Dateien, die man der Ransomware zum Fraß vorgeworfen hat, dann groß genug für eine wirklich langwierige Verschlüsselung, fällt der Zugriff vielleicht rechtzeitig auf und der Admin kann "den Stecker ziehen", bevor die Malware bei echten Nutzdaten ankommt.

Leider darf man allerdings davon ausgehen, dass auch die Ransomware-Programmierer die Texte ihrer Gegner lesen und beispielsweise zu einer zufälligen Reihenfolge beim Ordner-Zugriff übergehen oder Mechanismen einbauen, die eine Dateiüberwachung außer Kraft setzen.

Wenn es allerdings nichts kostet, kann ein Versuch mit Dateiüberwachung auch nicht viel schaden. Und es gibt ja noch viele andere gute Gründe, den Zugriff auf Dateien und Ordner im Auge zu behalten.

Folder Changes View von Nirsoft

Folder Changes View ist ein kleines, installationsfreies Werkzeug für alle Windows-Versionen von Windows 2000 bis Windows 10. Es kommt aus der bekannten Freeware-Schmiede Nirsoft, die schon eine ganze Reihe wertvoller Tools auf den Markt gebracht hat. Ein Download direkt von der Anbieterseite (www.nirsoft.net/utils/folder_changes_view.html) ist in der Regeln auch "sicher", also frei von irgendwelchen unerwünschten Malware- oder Adware-Zugaben.

Das Tool befindet sich nach dem Download in einer ZIP-Datei, die das EXE-File selbst, eine Readme-Datei und eine Hilfedatei enthält. Alle Files muss der Anwender lediglich in einen Ordner kopieren, dann lässt sich die EXE direkt starten. Nach dem ersten Aufruf kommt automatisch ein CFG-File hinzu, das die vom Anwender getroffenen Einstellungen wie etwa die zu überwachenden Ordner festhält - Profis können hier mit mehreren CFG-Dateien arbeiten, aber dazu später mehr. Wer will, kann zusätzlich von der Nirsoft-Seite ein INI-File dazuladen, das das Programm mit deutschen oder anderssprachigen Menüs ausstattet.

Beim Start öffnet das Programm automatisch die Funktion "Choose Base Folder", die die wichtigsten Überwachungsoptionen enthält. Alternativ könnte man eine bereits angelegte Konfigurationsdatei öffnen.

Der wichtigste Punkt ist die Auswahl der zu überwachenden Ordner. Im Test wählen wir zwei Netzwerkordner samt Unterordner. Wer will, kann die Beobachtung sehr fein dosieren und gezielt Unterordner sowie Dateien ausgewählter Typen ein- und ausschließen sowie die Anzeige feintunen. Protokolle der Dateizugriffe lassen sich in frei wählbaren Intervallen als CSV-File exportieren, das wiederum als gute Ausgangsbasis für die Parser von SIEM-Systemen oder anderen korrelierenden Log-Analyse-Systemen dienen kann. Auf diese Weise lassen sich tatsächlich viele Compliance-Vorschriften in Bezug auf File-Überwachung und Logging bereits hinreichend erfüllen - bis auf die Tatsache, dass ein Tool dieser Konzeption allein nicht den Anwender festhalten kann, der eine bestimmte Aktion durchführt.

Folgende Punkte erscheinen im Einzelnen protokolliert im Fenster des Tools:

• Dateigröße,
• Zahl der Dateiänderungen,
• Zahl der neu angelegten Dateien,
• Zahl der gelöschten Dateien,
• die volle Pfadangabe,
• Extension,
• Datei-Owner,
• Zeitpunkt des ersten Zugriffs,
• Zeitpunkt des letzten Zugriffs,
• Dateigröße,
• Zeitpunkt der Änderung von Attributen,
• Zeitpunkt der Neuanlage einer Datei und
• Attribute.

Diese Informationen lassen sich auch per Rechtsklick in einem Extra-Fenster aufrufen, wenn man nicht in der Liste des Hauptfensters hin- und herscrollen möchte. Für Profis wichtig ist übrigens auch, dass sich das Tool nicht nur über die eigene Benutzeroberfläche, sondern auch über Kommandozeilenaufrufe steuern lässt.

Warnung per Ton

Interessant für die oben beschriebene Sandbox-Idee ist die Möglichkeit, einen Warnton bei jeder File-Änderung auszulösen. Dieser ist frei wählbar. Ist die Überwachung auf einen Honeypot gerichtet, in dem normalerweise keine Dateizugriffe stattfinden, wäre dies eine brauchbare Möglichkeit, sich auf verdächtige Aktivitäten hinweisen zu lassen. Andere Alarmierungsmöglichkeiten, etwa Warnung per SMS etc., müsste man sich über eine nachgeordnete Log-Auswertung verschaffen.

Eine Alternative zu Folder Changes View stellt das in Deutschland programmierte Werkzeug File Spy dar, das unter sourceforge.net/projects/filespydotnet zum Download zur Verfügung steht. Auch dieses Programm läuft unter allen gängigen Windows-Versionen. Wie Folder Changes View muss der Anwender es nicht installieren, sondern es wird lediglich aus einem Archiv - hier eine RAR-Datei - kopiert und direkt über einen Doppelklick auf die EXE-Datei aufgerufen.

File Spy

Auf den ersten Blick wirkt File Spy zugänglicher und moderner als Folder Changes View. Die Auswahl der zu überwachenden Ordner läuft menügesteuert etwas komfortabler als beim zuvor getesteten Tool. Dabei verwundert es allerdings, dass das in den Verzeichnisbaum des Textrechners eingebundene Netzlaufwerk, auf das sich die Überwachung richten soll, nicht sichtbar ist - wir erreichen es nur über "Netzwerk". Abgesehen davon sind die Einstellmöglichkeiten bei näherem Hinsehen nicht so umfangreich wie bei Folder Changes View. Beim ersten Test bekommt das Werkzeug zudem nicht jede Änderung im Netzwerkordner mit.

Ganz anders verhält sich das Tool, sobald man es auf einen lokalen Ordner richtet: In diesem Fall zeigt es jede Änderung zuverlässig an und meldet sich verzögerungsfrei mit einem Warnton sowie einem eingeblendeten Hinweis am Bildschirm. Ein zweiter Versuch mit dem Netzlaufwerk bringt dann plötzlich ebenfalls zuverlässige Meldungen, aber in diesem Fall fehlt seltsamerweise weiterhin die akustische und optische Warnung. Insgesamt ist darüber hinaus der Umfang der Informationen über die veränderten Dateien geringer, und die Logs lassen sich nur manuell aus der Oberfläche des Tools heraus exportieren. Dies erschwert den Einsatz im Verbund mit permanent operierenden Analysewerkzeugen.

Lesen Sie mehr zum Thema